// シス担のミカタ
セキュリティ製品 - SIEM・SOC

Devo でぼ

SIEMログ管理セキュリティ監視SOCクラウドネイティブリアルタイム分析
Devoについて教えて

簡単に言うとこんな感じ!

Devoはクラウド上で動く「超高速ログ監視プラットフォーム」だよ!会社中のシステムから集まる膨大なログを一か所でリアルタイムに分析して、サイバー攻撃や異常をすばやく見つけ出すツールなんだ。特に「データ量が増えても遅くならない」のが最大の強みってこと!

Devoとは

Devo(デボ)は、スペイン発のクラウドネイティブSIEM(Security Information and Event Management) プラットフォームです。企業のネットワーク機器・サーバー・アプリケーションなど、あらゆるシステムが生み出す大量のログデータをリアルタイムで収集・検索・分析し、セキュリティの脅威や運用上の異常をいち早く検知することを目的としています。

従来のSIEMツールは「データ量が増えると検索が遅くなる」「ストレージコストが膨らむ」という課題を抱えていました。Devoはこれを解決するために、インデックスレスアーキテクチャと呼ばれる独自技術を採用。どれだけデータが増えても一定の高速クエリを維持できる点が、大規模エンタープライズやSOC(Security Operations Center:セキュリティ監視センター) 運用での高い評価につながっています。

2011年にスペイン・マドリードで創業し、現在は米国を主要拠点としてグローバルに展開。2021年にはGartner Magic Quadrant for SIEMにおいてビジョナリー(先進企業)として位置づけられ、注目度が高まっています。

Devoの主な特徴と機能

機能・特徴内容
クラウドネイティブ完全SaaS型。オンプレミスのハードウェア不要で即導入可能
インデックスレス検索ログにインデックス(索引)を付けずに高速検索。取り込み量が増えても性能劣化しない
400日以上のオンラインデータ保持長期ログを低コストでホット(即検索可能)な状態に保持
リアルタイムストリーミングデータ取り込みから数秒以内に可視化・アラート
Activeboardsカスタマイズ可能なリアルタイムダッシュボード
LINQ(Devo専用クエリ言語)SQLライクな独自言語で柔軟なログ分析が可能
マルチテナント対応MSSPなど複数顧客を一元管理するユースケースに対応

Devoの名前の由来

Devoはもともと「LogTrust」という社名でサービスを提供していましたが、2018年に現在の社名に変更されました。「Devo」は“Deviation(逸脱・異常)” を素早く見つけるという製品コンセプトと、“Devote(専念する)” というミッションを掛け合わせた造語とされています。

SIEMの処理ボリューム感

企業規模ごとのログ量の目安を示すと、Devoが真価を発揮するレンジがわかります。

企業規模1日のログ量(目安)Devoの適合度
中小企業(〜500人)数GB〜数十GB△(オーバースペックの場合も)
中堅企業(500〜5,000人)数十GB〜数百GB
大企業・エンタープライズ数TB以上◎◎(最も強みが出る)
MSSP・SOC事業者複数顧客分の合算◎◎(マルチテナント強み)

歴史と背景

  • 2011年 — スペイン・マドリードにて「LogTrust」として創業。ビッグデータ時代のログ管理課題を解決するために設立
  • 2014年頃 — インデックスレスアーキテクチャの基盤技術を確立。大量ログの高速検索を実現
  • 2018年 — 社名を「Devo Technology」に変更。グローバル展開を本格化
  • 2019年 — シリーズDで1億ドル超の資金調達。米国市場への攻勢を強化
  • 2021年 — Gartner Magic Quadrant for SIEMに初掲載(ビジョナリー象限)
  • 2022年 — Forrester Wave: Security Analytics Platformsでも高評価を獲得
  • 2023年以降 — AI/ML(機械学習)を活用した脅威検知機能「Devo SOAR」「Devo AI」を順次リリース。SOC自動化への取り組みを加速

主要SIEMプラットフォームとの比較

SIEMの選定は「データ量・コスト・運用体制」の3軸で考えると整理しやすくなります。

主要SIEMプラットフォーム比較 製品 タイプ 大量データ耐性 コスト傾向 主なユーザー Devo クラウドネイティブ ◎◎ 非常に強い 中〜高 大企業・MSSP Splunk ハイブリッド ◎ 強い 高い 大企業全般 Microsoft Sentinel クラウド (Azure) ◎ 強い 従量制・変動 Azure利用企業 IBM QRadar オンプレ/ハイブリッド △ やや苦手 中〜高 既存IBMユーザー Devoが特に向いているシナリオ ✔ 1日数TB以上の大量ログを扱うエンタープライズ・SOC ✔ 複数の顧客・部門のログをひとつのプラットフォームで管理したいMSSP ✔ 過去1年以上分のログを低レイテンシで横断検索したいケース ✔ データ量増加に比例してコストが爆発しない仕組みを求める場合

SplunkはSIEM市場の老舗で機能が豊富ですが、データ量に応じてライセンスコストが跳ね上がるという課題があります。Microsoft SentinelはAzure環境との親和性が高く、M365ユーザーには自然な選択肢です。Devoはこれらと比べ「大量データを安定したコストで高速処理する」点を前面に出した差別化戦略をとっています。

関連する規格・RFC

規格・標準内容
RFC 5424Syslogプロトコルの標準仕様。Devoへのログ転送に広く使われる
RFC 3164BSD Syslog(旧来のSyslog形式)。レガシー機器との連携時に参照
RFC 5246TLS 1.2。ログ転送経路の暗号化に使用

関連用語

  • SIEM — ログを収集・分析してセキュリティ脅威を検知する統合管理プラットフォーム
  • SOC — セキュリティ監視を専門とする組織・センター
  • Splunk — SIEMおよびログ管理市場における主要競合製品
  • Microsoft Sentinel — Microsoft AzureベースのクラウドネイティブSIEM
  • SOAR — セキュリティアラートへの対応を自動化するオーケストレーションプラットフォーム
  • Syslog — ネットワーク機器・サーバーがログを転送するための標準プロトコル
  • MSSP — セキュリティ監視・運用をアウトソーシングで提供するサービス事業者
  • 脅威インテリジェンス — 攻撃者の手口・侵害指標などの情報を収集・活用する仕組み